Upgrade to Pro — share decks privately, control downloads, hide ads and more …

MFAの設定で色々失敗した話

Yuki_Kurono
March 10, 2022
Programming
1
700

 MFAの設定で色々失敗した話

Yuki_Kurono

March 10, 2022
Tweet

More Decks by Yuki_Kurono

See All by Yuki_Kurono
re_invent 2023事前勉強会
yuki_kurono
0
33
CloudFormationの運用が 辛くならない方法を本気で考えてみた
yuki_kurono
0
130
CloudFormationで登場したForEachをちゃんと理解してみる
yuki_kurono
0
430
Turnstileのウィジェット モードとは何者か
yuki_kurono
0
230
CodeGuru Security ってなんだ?
yuki_kurono
0
610
えるしってるか CloudFrontはWAFがあっても カスタムエラーレスポンスを返せる
yuki_kurono
0
240
Cloudflare初心者がIaCから基本構成を学んでみた
yuki_kurono
1
450
Terraformのnull_resource ってなに?aws cli が実行できるらしい
yuki_kurono
0
1k
Hashicorp VaultでAWSクレデンシャルの管理を楽にしたい
yuki_kurono
0
500

Other Decks in Programming

See All in Programming
Figma Dev Modeで変わる!Flutterの開発体験
watanave
0
150
Realtime API 入門
riofujimon
0
150
WebフロントエンドにおけるGraphQL(あるいはバックエンドのAPI)との向き合い方 / #241106_plk_frontend
izumin5210
4
1.4k
色々なIaCツールを実際に触って比較してみる
iriikeita
0
330
ECS Service Connectのこれまでのアップデートと今後のRoadmapを見てみる
tkikuc
2
250
シェーダーで魅せるMapLibreの動的ラスタータイル
satoshi7190
1
480
ペアーズにおけるAmazon Bedrockを⽤いた障害対応⽀援 ⽣成AIツールの導⼊事例 @ 20241115配信AWSウェビナー登壇
fukubaka0825
6
2k
リアーキテクチャxDDD 1年間の取り組みと進化
hsawaji
1
220
タクシーアプリ『GO』のリアルタイムデータ分析基盤における機械学習サービスの活用
mot_techtalk
4
1.5k
ピラミッド、アイスクリームコーン、SMURF: 自動テストの最適バランスを求めて / Pyramid Ice-Cream-Cone and SMURF
twada
PRO
10
1.3k
Hotwire or React? ~アフタートーク・本編に含めなかった話~ / Hotwire or React? after talk
harunatsujita
1
120
Make Impossible States Impossibleを 意識してReactのPropsを設計しよう
ikumatadokoro
0
240

Featured

See All Featured
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
109
49k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
A better future with KSS
kneath
238
17k
Adopting Sorbet at Scale
ufuk
73
9.1k
Raft: Consensus for Rubyists
vanstee
136
6.6k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Rails Girls Zürich Keynote
gr2m
94
13k
Producing Creativity
orderedlist
PRO
341
39k

Transcript

  1. MFAの設定で色々失敗した話 アイレット株式会社 黒野雄稀 JAWS-UG CLI専門支部 #251R 2022/03/10

  2. 自己紹介 名前:黒野 雄稀 趣味:Cookie Clicker AWS歴:3年くらい 所属:アイレット株式会社

  3. • 仮想 MFA デバイス • U2F セキュリティキー • ハードウェア MFA

    デバイス • SMS テキストメッセージベース MFA https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa.html 使用できる方法 AWS におけるMFA セキュリティを向上させるには、多要素認証(MFA)を 設定して AWS リソースを保護することを推奨します。 IAM ユーザーまたは AWS アカウント ルートユーザー に 対して MFA を有効にすることができます。 概要

  4. 今回お話しする前提 • 環境は稼働中のお客さんのAWS環境 • MFAを必須にするIAMポリシーをアタッチする必要があった • こちらが設計したIAMポリシーで、 お客さんにIAMユーザを作成してもらう状況

  5. MFAを設定する

  6. MFAの設定を中断する キャンセル!

  7. 設定中に中断すると… • 「エンティティは既に存在しています」とエラーが発生する • MFAデバイスはコンソールから確認すると「割り当てなし」と表示 される

  8. AWSのドキュメント これは、誰かが以前に IAM コンソールでユーザーに仮想 MFA デバイ スの割り当てを開始し、プロセスをキャンセルした場合に発生する可 能性があります。これにより、IAM のユーザーの MFA

    デバイスが作 成されますが、アクティブ化されることはありません。 新しいデバイスをユーザーに関連付ける前に、既存の MFA デバイス を削除する必要があります。 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/troubleshoot_general.html #troubleshoot_general_access-denied-delete-mfa

  9. MFAのリセット方法(CLI)

  10. コマンド実行手順① 設定に失敗したMFAのSerialNumber確認 root@kurono:~# aws iam list-virtual-mfa-devices { "VirtualMFADevices": [ {

    "SerialNumber": "arn:aws:iam::12345678910:mfa/kurono-test-mfa" }, { "SerialNumber": "arn:aws:iam::12345678910:mfa/root-account-mfa-device", "User": { "UserId": "12345678910", "Arn": "arn:aws:iam::12345678910:root", "CreateDate": "2017-07-27T06:47:31+00:00", "PasswordLastUsed": "2017-07-27T06:47:59+00:00" }, "EnableDate": "2017-07-27T07:03:10+00:00" }, ] }

  11. コマンド実行手順② 設定に失敗したMFAの設定削除 root@kurono:~# aws iam delete-virtual-mfa-device --serial-number "arn:aws:iam::12345678910:mfa/kurono-test-mfa"

  12. コマンド実行手順③ 失敗したMFAが削除されているか確認 root@kurono:~# aws iam list-virtual-mfa-devices { "VirtualMFADevices": [ {

    "SerialNumber": "arn:aws:iam::12345678910:mfa/root-account-mfa-device", "User": { "UserId": "12345678910", "Arn": "arn:aws:iam::12345678910:root", "CreateDate": "2017-07-27T06:47:31+00:00", "PasswordLastUsed": "2017-07-27T06:47:59+00:00" }, "EnableDate": "2017-07-27T07:03:10+00:00" }, ] }

  13. どうなったか?

  14. アクセスキー発行権限不足 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_access-keys.html#access- keys_required-permissions

  15. Unable to start the environment. You don't have required permissions.

    CloudShell実行権限不足 https://docs.aws.amazon.com/ja_jp/cloudshell/latest/userguide/sec-auth-with-identities.html

  16. まとめ • 検証してからIAMユーザは作成しよう • MFAを設定する時は慎重に。。(戒め)

  17. 参考 ・https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa.html AWS での多要素認証 (MFA) の使用 ・https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/troubleshoot_general.html #troubleshoot_general_access-denied-delete-mfa AWS ドキュメント(MFAのリセット方法)

    ・https://docs.aws.amazon.com/ja_jp/cloudshell/latest/userguide/sec-auth-with-identities.html 管理AWS CloudShell IAM ポリシーでのアクセスと使用